Datenfilterung erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie die Datenfilterung, um bei Leseabfragen den Zugriff auf Tabellen und Datensätze basierend auf Themenattributen zu steuern.

    Die Datenfilterung ist eine separate Form der Zugriffskontrolle, die auf die vorhandenen Zugriffskontrollregeln (ACLs) in Ihrer Instanz abgestimmt ist. Die Datenfilterung verweigert den Zugriff auf Tabellen und Datensätze, die nicht mit den vom Administrator definierten Betreffattributen übereinstimmen. Die Datenfilterung soll Auditing, Berichterstellung und Fehlerbehebung erleichtern.

    Dies ist eine optionale Funktion, die Administratoren in ihrer Instanz aktivieren können.

    Datenfilterungsfunktionen

    Datenfilter

    Verwenden Sie Datenfilter, um Zugriff basierend auf Informationen in einem Datensatz zu gewähren. Datenfilter verwenden Daten in einem Tabellenfeld, um zu bestimmen, ob ein Datensatz für Ihre Benutzer verfügbar ist.
    Auf Betreffattributen basierender Bedingungsgenerator

    Verwenden Sie Betreffattribute, um Benutzerrolle, Gruppe, Betreffkriterien oder IP-Netzwerkadresse auszuwerten.
    Die Datenfilterung verwendet ein Deny-basiertes Modell

    Bei der Datenfilterung wird ein Deny-basiertes Modell verwendet, um den Zugriff auf Datensätze zu steuern. Bei der Datenfilterung verweigert Ihre Instanz den Zugriff auf Datensätze, es sei denn, ein Datensatz erfüllt die durch die Datenfilterung definierten Kriterien.
    Datenfilterung erzwingen

    Datenfilterregeln werden nach der Datenbankabfrage für READ-Vorgänge ausgeführt und vor ACLs ausgewertet. Ein Datensatz, der von einer Datenfilterungsregel verweigert wird, wird nicht fortgesetzt und von ACL-Regeln ausgewertet.

    • Die Durchsetzung der Datenfilterungsregeln stimmt mit der von READ ACLs überein.
    • Datenfilterung funktioniert wie ACLs in Verbindung mit vorhandenen Report_view access control list -Verhalten. Weitere Informationen zur Konfiguration dieser Berichtssteuerungen finden Sie unter report_view-Zugriffssteuerung.
    Debugging von Sitzungen

    Die Datenfilterung unterstützt das Debuggen von Sitzungen. Verwenden Sie Sitzungsdebugging, um zu sehen, welche Datenfilterungsdatensätze für eine bestimmte Abfrage gelten. Administratoren können diese Informationen verwenden, um Probleme beim Benutzerzugriff auf Datensätze zu beheben.

    Komponenten der Datenfilterung

    Die Datenfilterung funktioniert mit den folgenden Datensatztypen:
    Datenfilterungsdatensätze
    Erstellen Sie einen Datenfilterungsdatensatz [sys_df_data_filterung], um Tabellenzugriff in Ihrer Instanz zu gewähren. Der Datenfilterungsdatensatz enthält die oben beschriebenen Bedingungen für Datenfilter und Betreffattribut, um den Umfang der Regel und die betroffenen Benutzer zu begrenzen.
    Datensätze mit Betreffkriterien
    Datensätze mit Betreffkriterien [sys_df_subject_criteria] stellen bestimmte Benutzerattribute dar, mit denen Sie bestimmen können, ob der Zugriff mit einer Datenfilterregel gewährt werden soll. Diese Attribute können die Gruppen, Rollen oder IP-Adressen eines Benutzers sein. Um ein Betreffkriterium zu erstellen, müssen Sie den Betreffkriteriendatensatz sowie Kriterieneingabe- und Kriterienbedingungsdatensätze erstellen. Details zu diesem Vorgang finden Sie unter Betreffkriterien werden erstellt.
    Nachdem Sie Datensätze mit Betreffkriterien erstellt haben, können Sie sie auf eine Regel anwenden. Dies geschieht auf der Registerkarte Betreffbedingung Ihrer Datenfilterregel.
    Beispiele für Kriterieneingabedatensätze
    Abbildung : 1. Beispielkriterieneingabe für alle Rollen, die admin enthalten
    Beispielkriterieneingabe für alle Rollen, die admin enthalten
    Kriterieneingaben [sys_df_subject_filter_criteria_m2m] sind Datensätze, die Kriterien enthalten, die mit dem Benutzer verglichen werden sollen. Dies kann eine Liste von Benutzergruppen oder Rollen, ein IP-Adressbereich oder ein IP-Adress-Subnetz sein. Diese Datensätze werden zusammen mit Bedingungsdatensätzen für Betreffkriterien verwendet, um anhand der Gruppen, Rollen oder IP-Adressen eines Benutzers den Zugriff auf eine Tabelle oder deren Datensätze zu bestimmen.
    Bedingungsdatensätze für Betreffkriterien
    Abbildung : 2. Beispiel für Kriterienbedingung unter Verwendung der Kriterieneingabe „Nur Administratoren“.
    Beispiel für Kriterienbedingung unter Verwendung der Kriterieneingabe „Nur Administratoren“.
    Verwenden Sie Datensätze für Betreffkriterienbedingungen [sys_df_subject_criteria_condition], um zu definieren, wie Benutzerattribute mit den in Ihren Kriterieneingaben definierten Rollen, Gruppen oder IP-Adressen verglichen werden. Sie können mehrere Kriterieneingaben in einer einzelnen Betreffkriterienbedingung verwenden, um den Zugriff auf Ihre Datensätze weiter einzuschränken.